IBM Cloud Docs
管理 CIS 以实现最佳安全性

管理 CIS 以实现最佳安全性

IBM Cloud® Internet Services ( CIS ) 安全设置包括安全默认值,旨在避免误报和对流量产生负面影响。 但是,这些安全缺省设置不会为每个客户提供最佳安全态势。 请按照以下步骤确保 CIS 账户的配置安全可靠。

  • 通过使用代理服务器和增加混淆功能,确保您的源 IP 地址安全。
  • 有选择地配置安全级别。
  • 安全激活 Web 应用程序防火墙 (WAF)。
  • 配置 TLS 设置。

最佳实践 1:保护源 IP 地址

当子域使用 CIS 进行代理时,所有流量都会受到保护,因为 CIS 会使用与其相关的特定 IP 地址进行响应。 此过程有助于确保您首先连接到 CIS 代理服务器,从而隐藏您的原始 IP 地址。

对来自 HTTP 的流量的所有 DNS 记录使用 CIS 代理

为了提高源 IP 地址的安全性,您必须代理所有 HTTP 和 HTTPS 流量。

通过查询非代理记录和代理记录,了解两者的区别:

dig nonproxied.theburritobot.com +short
1.2.3.4 (The origin IP address)

$ dig proxied.theburritobot.com +short
104.16.22.6 , 104.16.23.6 (CIS IP addresses)

使用非标准名称来隐藏不通过代理传递的源记录

任何无法通过 CIS 进行代理,但仍使用您的源 IP 的记录(如 FTP),都可以通过创建额外的混淆来确保安全。 特别是,如果您需要一个无法通过 CIS 代理的起源记录,请使用非标准名称。 例如,代替 ftp.example.com 使用 [random word or-random characters].example.com. 此模糊处理使 DNS 记录的字典扫描不太可能公开源 IP 地址。

对于 HTTP 和非 HTTP 流量使用单独的 IP 范围(如果可能)

有些客户为 HTTP 和非 HTTP 流量使用不同的 IP 范围。 这种方法可以帮助他们代理 HTTP IP 范围内的所有记录,并使用不同的 IP 子网隐藏所有非 HTTP 流量。

最佳实践 2:有选择地配置安全级别

您的安全级别确定 IP 声誉数据库的敏感度。 为避免负面交互或误报,请按域配置安全级别以在需要的位置提高安全性,在适当的位置降低安全性。

将敏感区域的安全级别提高到“高”

您可以在域的高级安全页面中提高此级别,或者通过为管理页面或登录页面添加页面规则来减少暴力破解尝试:

  1. 使用 API 的 URL 模式创建页面规则(例如,www.example.com/wp-login)。
  2. 找到安全级别设置。
  3. 将设置标记为
  4. 选择供应资源

降低非敏感路径或 API 的安全级别以减少误报

对于一般页面和 API 流量,可以降低该级别:

  1. 使用 API 的 URL 模式创建页面规则(例如,www.example.com/api/*)。
  2. 找到安全级别设置。
  3. 将安全级别调至基本关闭
  4. 选择供应资源

安全级别设置的含义是什么?

“安全级别”设置与特定 IP 地址因网络恶意行为而得到的威胁评分保持一致。 威胁分数大于 10 即为高分。

  • :如果威胁评分大于 0,将进行质询。
  • :如果威胁评分大于 14,将进行质询。
  • :如果威胁评分大于 24,将进行质询。
  • 基本关闭:如果威胁评分大于 49,将进行质询。
  • 关闭:仅限企业
  • 防御模式:只有当网站受到 DDoS 攻击时,才必须使用该级别。 CIS 会对流量和行为进行分析,以确保访问者是试图访问您网站的合法访问者。防御模式可能会影响域上的某些操作,例如使用 API。 您可以为 API 或域的任何其他部分创建页面规则,从而为该部分设置自定义安全级别。

考虑定期检查安全级别设置。 您可以在 CIS 设置的最佳实践 中找到指示信息。

最佳实践 3:安全地激活 Web 应用程序防火墙 (WAF)

安全部分中提供 WAF。 在此,我们将以相反的顺序介绍这些设置,以确保在为整个域打开 WAF 之前,尽可能安全地配置 WAF。 这些初始设置通过填充安全性事件来进一步调优,从而减少误报。 WAF 将自动进行更新以处理发现的新漏洞。 有关更多信息,请参阅 使用安全性事件功能

WAF 保护您免受以下类型的攻击:

  • SQL 注入攻击
  • 跨站点脚本编制
  • 跨站点伪造

WAF 包含一个默认规则集,其中包括阻止最常见攻击的规则。 目前,我们允许您启用或禁用 WAF,并对 WAF 规则集中的特定规则进行微调。 请参阅 WAF操作 文档,了解规则集和每条规则的行为的更多详情。

有关更多信息,请参阅 Web 应用程序防火墙(WAF)概念

最佳实践 4:配置 TLS 设置

IBM CIS 可用作反向代理,并提供多种流量加密选项。 作为反向代理,我们会关闭数据中心的 TLS 连接,并打开与您的源服务器的新 TLS 连接。

TLS 提供六种运行模式,按照从最安全到最不安全(关闭)的顺序排列:

  1. 经过验证的原点拉取:(仅限企业版)
  2. HTTPS 仅原点拉动 (仅企业)
  3. 端到端 CA 签名 (默认值和推荐值)
  4. 端到端灵活 (边缘到原点证书可以自签名)
  5. 客户端到边缘 (边缘到原点不加密,不支持自签名证书)
  6. 关闭 (不推荐)

有关不同运行模式的详情,请参阅 TLS 选项

通过 IBM CIS,您可以使用自定义证书,也可以使用 CIS 为您提供的通配符证书。

上传定制证书

点击“添加证书”,输入证书、私钥和捆绑方法,即可上传自定义证书。 上传自定义证书后,您可以立即获得加密流量的兼容性,并保持对证书(例如扩展验证 (EV) 证书)的控制。CIS 不支持通过订购的证书或通用证书进行证书固定。 如果您想使用证书固定功能,建议您上传并维护自己的自定义证书。

如果上传的是自定义证书,则由您负责管理证书。 例如,CIS 不会跟踪证书过期日期。

订购专用证书

CIS 通过提供专用证书,使您的证书管理变得简单。 您不再需要生成专用密钥、创建证书签名请求 (CSR) 或记住更新证书。 您可以点击“添加证书”订购通配符证书,或输入主机名订购专用自定义证书。 证书类型有

  • SHA-2/ECDSA 使用 密钥的签名证书、P-256
  • SHA-2/RSA 使用 RSA 2048 位密钥的签名证书,以及
  • SHA-1/RSA 使用 RSA 2048 位密钥的签名证书。

CIS 可以为所有顶级域 (TLD) 颁发证书,但以下顶级域除外:

  • .cu (古巴)
  • .iq (伊拉克)
  • .ir (伊朗)
  • .kp (北朝鲜)
  • .sd (苏丹)
  • .ss (南苏丹)
  • .ye (也门)

CIS 管理证书到期日期。 要编辑专用定制证书上的主机名,必须重新订购,然后删除。 例如,使用主机名 alpha.yourdomain.com 订购专用定制证书。 要向专用定制证书添加主机名 beta.yourdomain.com,请使用主机名 alpha.yourdomain.combeta.yourdomain.com 订购另一个专用定制证书。 之后,_必须_删除原始专用自定义证书。

首次订购专用证书时,会执行域控制验证 (DCV) 流程,生成相应的 TXT 记录。 如果删除 TXT 记录,则在订购另一个专用证书时会再次发生 DCV 过程。 如果删除专用证书,那么不会删除与 DCV 过程对应的 TXT 记录。

以下是订购专用证书时常见的错误:

  • Error connecting to certificate service.
  • Error while requesting from certificate service.

如果在订购证书时出现错误,请刷新页面并重试。

使用供应的证书

IBM 已与多个认证中心 (CA) 合作,为客户提供域通配符证书。 设置这些证书可能需要人工验证。 您的支持团队可以帮助您执行这些额外的步骤。

边缘的证书优先级

以下列表显示了证书在我们边缘显示的优先级:

  1. 上传的定制
  2. 专用定制
  3. 专用通配符
  4. 全球

最低 TLS 版本

请参阅最低 TLS 版本。 较高级别的 TLS 提供更高的安全性,但是可能阻止客户连接到站点。

最佳实践 5: 配置速率限制

使用速率限制规则,通过阻止符合 URL 模式或超过定义阈值的客户端 IP 地址,保护网站或 API 免受恶意流量的攻击。 速率限制的主要用途如下:

  • 对资源实施细粒度访问控制。 这一过程包括根据用户代理、IP 地址、推荐人、主机、国家和世界地区等标准进行访问控制。
    • 按用户代理限制: 常见用例是限制单个用户代理执行请求的速率。
    • 允许特定 IP 地址或 ASN:控制资源访问的另一个用例是在速率限制规则中排除或包括 IP 地址或自治系统号 (ASN)。
    • 按推荐人限制:有些应用程序会收到来自其他来源的请求(例如,链接到第三方网页的广告所使用的请求)。 您可以限制单个推荐页面产生的请求数量,以管理配额或避免间接 DDoS 攻击。
    • 按目的地主机限制:创建一个以主机为计数特征的限速规则。
  • 防止凭证填充和帐户接管攻击。
  • 限制单个客户机执行的操作数。 这一行动包括防止机器人刮库、访问敏感数据、批量创建新账户以及在电子商务平台上进行程序化购买。
    • 防止内容搜刮(通过查询字符串)
    • 防止内容搜刮(通过正文)
    • 限制来自机器人的请求
  • 保护 REST API 免遭资源耗尽 (目标 DDoS 攻击) 和资源普遍滥用。
    • 防止卷积攻击
    • 保护资源
  • 通过防止服务器超负荷和限制操作数来保护 GraphQL API。
    • 限制操作数
    • 防止服务器超负荷